Agius APT
กิจกรรมของกลุ่มแฮ็กเกอร์ APT (Advanced Persistent Threat) ใหม่ได้รับการเปิดเผยในรายงานล่าสุด นักวิจัยของ infosec ได้ตั้งชื่อให้ผู้คุกคามชื่อ Agius จากผลการวิจัย กลุ่ม APT นี้ดำเนินงานในตะวันออกกลางและโจมตีเป้าหมายของอิสราเอลเป็นส่วนใหญ่
Agruis พยายามปิดบังเจตนาที่แท้จริงโดยจัดโครงสร้างการโจมตีให้ดูเหมือนเป็นการละเมิดแรนซัมแวร์ที่มีแรงจูงใจทางการเงิน อย่างไรก็ตาม ข้างใต้นั้นซ่อนเพย์โหลดจริงที่นำไปใช้กับเหยื่อ - ภัยคุกคามมัลแวร์ไวเปอร์หลายตัวที่ออกแบบมาเพื่อทำให้เกิดการหยุดชะงักครั้งใหญ่ต่อหน่วยงานที่ถูกบุกรุก หนึ่งในไวเปอร์สายพันธุ์ใหม่ชื่อ 'Apostle' ได้รับการพัฒนาในภายหลังให้เป็นแรนซัมแวร์เต็มรูปแบบ อย่างไรก็ตาม นักวิจัยเชื่ออีกครั้งว่าภัยคุกคามยังคงถูกนำไปใช้เพื่อความสามารถในการทำลายล้าง ไม่ใช่เพื่อผลประโยชน์ทางการเงิน
กลวิธี เทคนิค และขั้นตอน (TTP) ของ Agius APT นั้นชัดเจนมากพอที่จะทำให้พวกเขาแตกต่างจากกลุ่ม ATP ที่จัดตั้งขึ้นแล้วทั้งหมดในที่เกิดเหตุ และในขณะที่ไม่มีการเชื่อมโยงที่เป็นรูปธรรม หลักฐานจากสถานการณ์ที่ SentinelLabs เปิดเผยออกมาชี้ว่า Agius มีส่วนเกี่ยวข้องกับอิหร่าน
เครื่องมือมัลแวร์ที่ปรับใช้โดย Agius APT
เพื่อรักษาความเป็นนิรนามในขณะที่มีส่วนร่วมกับแอปพลิเคชั่นที่เปิดเผยต่อสาธารณะที่ติดตั้งในองค์กรเป้าหมาย Agriuls ใช้บริการ VPN เช่น ProtonVPN เมื่อเข้าไปในเครือข่ายของเหยื่อ ผู้คุกคามจะปรับใช้รูปแบบ Web Shell ของ ASPXSpy เมื่อถึงจุดนี้ Agius ยังคงใช้เครื่องมือที่เปิดเผยต่อสาธารณะเพื่อเก็บเกี่ยวข้อมูลประจำตัวของบัญชีและย้ายภายในเครือข่ายของเหยื่อไปทางด้านข้าง
หากแฮกเกอร์เห็นว่าเป้าหมายคุ้มค่า พวกเขาจะขยายการโจมตีและดำเนินการติดตั้งเครื่องมือมัลแวร์ของตนเอง ขั้นแรก แบ็คดอร์ชื่อ 'IPsec Helper' ที่เขียนใน .NET จะเริ่มต้นขึ้น แบ็คดอร์จะพยายามสร้างความคงอยู่โดยการลงทะเบียนตัวเองเป็นบริการ เครื่องมือที่คุกคามนี้ใช้สำหรับการกรองข้อมูลและการส่งมอบ payloads ขั้นต่อไปเป็นหลัก
เป้าหมายที่แท้จริงของการดำเนินงานคือการปรับใช้การคุกคามแบบไวเปอร์ อย่างแรกคือที่ปัดน้ำฝน 'อัครสาวก' ดังกล่าว ภัยคุกคามนั้นอิงจาก 'IPsec Helper' เนื่องจากทั้งสองฟังก์ชั่นใช้ร่วมกัน ใช้วิธีการที่คล้ายกันเพื่อดำเนินการงาน และเขียนใน .NET ในภายหลัง Apostle ได้รับการแก้ไขโดยการลบฟังก์ชันไวเปอร์ทั้งหมดและแทนที่ด้วยความสามารถของแรนซัมแวร์ ซึ่งมีแนวโน้มสูงที่จะทำให้เกิดการหยุดชะงักในระดับที่ใกล้เคียงกันในระบบที่ถูกละเมิด ในขณะที่ซ่อนเจตนาของ Agius ไว้ได้ดีกว่า Apostle เวอร์ชันเรียกค่าไถ่ถูกใช้ในการโจมตีโรงงานของประเทศในสหรัฐอาหรับเอมิเรตส์ ไวเปอร์อีกอันที่ APT ปรับใช้คือ DEADWOOD ภัยคุกคามจากมัลแวร์นี้ถูกตรวจพบว่าเป็นส่วนหนึ่งของการล้างการโจมตีในตะวันออกกลางก่อนหน้านี้
